信息安全與網(wǎng)絡(luò)道德-課件

Intemet應(yīng)用基礎(chǔ)第五講

信息安全與網(wǎng)絡(luò)道德

（第二講）

網(wǎng)絡(luò)安全

?網(wǎng)絡(luò)安全概述

?網(wǎng)絡(luò)黑客與網(wǎng)絡(luò)攻防

?常見信息安全技術(shù)

?常見信息安全應(yīng)用軟件

?常見信息安全產(chǎn)品

?:?信息安全管理

社會(huì)責(zé)任與職業(yè)道德規(guī)范

網(wǎng)絡(luò)安全概述

?網(wǎng)絡(luò)安全的現(xiàn)狀

?網(wǎng)絡(luò)安全

?網(wǎng)絡(luò)安全策略

研究網(wǎng)絡(luò)安全意義

網(wǎng)絡(luò)安全現(xiàn)狀

*

。信息和網(wǎng)絡(luò)的安全防護(hù)能力差

*內(nèi)部威脅和無意破壞

■系統(tǒng)漏洞和“后門”

網(wǎng)絡(luò)蓄意破壞

。隱私侵犯或機(jī)密資料

&。拒絕服務(wù)

網(wǎng)絡(luò)安全定義

(NetworkSecuritv)是一門涉

及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、

密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、

數(shù)論、信息論等多種學(xué)科的綜合性科學(xué)。

從總體上，網(wǎng)絡(luò)安全可以分成兩大方面:

網(wǎng)絡(luò)攻擊技術(shù)和網(wǎng)絡(luò)防御技術(shù)，只有全

面把握兩方面的內(nèi)容，才能真正掌握計(jì)

算機(jī)網(wǎng)絡(luò)安全技術(shù)。

網(wǎng)絡(luò)安全的攻防體系

網(wǎng)絡(luò)安全攻擊防御體系

攻擊技術(shù)防御技術(shù)

網(wǎng)絡(luò)掃描操作系統(tǒng)安全配置技術(shù)

網(wǎng)絡(luò)監(jiān)聽加密技術(shù)

網(wǎng)絡(luò)入侵防火墻技術(shù)

網(wǎng)絡(luò)后門與網(wǎng)絡(luò)隱身入侵檢測(cè)技術(shù)

網(wǎng)絡(luò)安全的實(shí)施

工具軟件：Sniffer/X-Scan/防火墻軟件/入侵檢測(cè)軟件/加密軟件等等

編程語言：C/C++/Per1

網(wǎng)絡(luò)安全物理基礎(chǔ)

操作系統(tǒng)：Unix/Linux/Winclows

網(wǎng)絡(luò)協(xié)議：TCP/IP/UDP/SMTP/POP/FTP/HTTP

攻擊技術(shù)

如果不知道如何攻擊，再好的防守也是經(jīng)不住考驗(yàn)的，攻擊技術(shù)

主要包括五個(gè)方面：

1、網(wǎng)絡(luò)監(jiān)聽：自己不主動(dòng)去攻擊別人，在計(jì)算機(jī)上設(shè)置一個(gè)程序去

/監(jiān)聽目標(biāo)計(jì)妙機(jī)后其加計(jì)算機(jī)通德番數(shù)花。

■2、網(wǎng)絡(luò)掃描：利用程序去掃描目標(biāo)計(jì)算機(jī)開放的端口等，目的是發(fā)

h現(xiàn)漏洞，為入侵該計(jì)算機(jī)做準(zhǔn)備。

3、網(wǎng)絡(luò)入侵：當(dāng)探測(cè)發(fā)現(xiàn)對(duì)方存在漏洞以后，入侵到目標(biāo)計(jì)算機(jī)獲

取信息。

4、網(wǎng)絡(luò)后門：成功入侵目標(biāo)計(jì)算機(jī)后，為了對(duì)“戰(zhàn)利品”的長(zhǎng)期控

制，在目標(biāo)計(jì)算機(jī)中種植木馬等后門。

5＞網(wǎng)絡(luò)隱身：入侵完畢退出目標(biāo)計(jì)算機(jī)后，將自己入侵的痕跡清除,

從而防止被嘴魯理察現(xiàn)。

防御技術(shù)

防御技術(shù)包括四大方面：

上1、操作系統(tǒng)的安全配置：操作系統(tǒng)的安全是整

■個(gè)網(wǎng)絡(luò)安全的關(guān)鍵。

h2、加密技術(shù)：為了防止被監(jiān)聽和盜取數(shù)據(jù)，將

所有闞據(jù)進(jìn)行加密。

3、防火墻技術(shù)：利用防火墻，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)

行限制，從而防止被入侵。

4、入侵檢測(cè)：如果網(wǎng)絡(luò)防線最終被攻破了，需

要及時(shí)發(fā)出被入侵的警報(bào)。

網(wǎng)絡(luò)安全攻防體系

為了保證網(wǎng)絡(luò)的安全，在軟件方面可以有兩種選擇，一種是使用

已經(jīng)成熟的工具，比如抓數(shù)據(jù)包軟件Sniffer,網(wǎng)絡(luò)掃描工具

Scan等寸等寸,，另一種是自己編制程序，目前網(wǎng)絡(luò)安全編程常用的計(jì)

算機(jī)語言為C、C++或者Perl語言。

為了使用工具和編制程序，必須熟悉兩方面的知識(shí)

?一方面是兩大主流的操作系統(tǒng)：UNIX家族和imimow系列操作系統(tǒng)

?另一方面是網(wǎng)絡(luò)協(xié)議，常見的網(wǎng)絡(luò)協(xié)議包括：

TCP（TransmissionControlProtocol,傳輸控制協(xié)議）

?IP（InternetProtocol,網(wǎng)絡(luò)協(xié)議）

UDP（UserDatagramProtocol,用戶數(shù)據(jù)報(bào)協(xié)議）

SMTP（SimpleMailTransferProtocol,簡(jiǎn)單郵件傳輸協(xié)議）

POP（PostOfficeProtocol,郵局協(xié)議）

FTP（FileTransferProtocol,文件傳輸協(xié)議）等等。

網(wǎng)絡(luò)安全層次體系

從層次體系上，可以將網(wǎng)絡(luò)安全分成四

個(gè)層次上的安全：

物理安全；

邏輯安全；

操作系統(tǒng)安全；

?聯(lián)網(wǎng)安全。

物理安全

物理安全主要包括五個(gè)方面:

?防盜；

防火；

防靜電；

防雷擊；

?防電磁泄漏

邏輯安全

?計(jì)算機(jī)的邏輯安全需要用口令、文件許可等方

實(shí)

/?可以限制登錄的次數(shù)或?qū)υ囂讲僮骷由蠒r(shí)間限

■;制；可以用軟件來保護(hù)存儲(chǔ)在計(jì)算機(jī)文件中的

■信息；

?限制存取的另一種方式是通過硬件完成，在接

收到存取要求后，先詢問并校核口令，然后訪

問列于目錄中的授權(quán)用戶標(biāo)志號(hào)。

-止匕外，有一些安全軟件包也可以跟蹤可疑的、

4未授權(quán)的存取企圖，例如，多次登錄或請(qǐng)求別

人的文件。

操作系統(tǒng)安全

?操作系統(tǒng)是計(jì)算機(jī)中最基本、最重要的軟件。

?同一計(jì)算機(jī)可以安裝幾種不同的操作系統(tǒng)。

?如果計(jì)算機(jī)系統(tǒng)可提供給許多人使用，操作系統(tǒng)必

須能區(qū)分用戶，以便于防止相互干擾。

?一些安全性較高、功能較強(qiáng)的操作系統(tǒng)可以為

計(jì)算機(jī)的每一位用戶分配賬戶。

?通常，一個(gè)用戶一個(gè)賬戶。操作系統(tǒng)不允許一

個(gè)用戶修改由另一個(gè)賬戶產(chǎn)生的數(shù)據(jù)。

聯(lián)網(wǎng)安全

■

-聯(lián)網(wǎng)的安全性通過兩方面的安全服務(wù)來

達(dá)到：

訪問控制服務(wù)：用來保護(hù)計(jì)算機(jī)和聯(lián)網(wǎng)資源

h■I不被非授權(quán)使用。

通信安全服務(wù)：用來認(rèn)證數(shù)據(jù)機(jī)要性與完整

性，以及各通信的可信賴性。

網(wǎng)絡(luò)安全需求

?數(shù)據(jù)保密性

?數(shù)據(jù)完整性

?數(shù)據(jù)可靠性

?數(shù)據(jù)可用性

?數(shù)據(jù)可審性

同信息安全

網(wǎng)絡(luò)安全屬性

?數(shù)據(jù)保密性

什么是數(shù)據(jù)保密性

防止靜態(tài)信息被非授權(quán)訪問和動(dòng)態(tài)信息被截取解密的特性，保密性實(shí)在可靠

性和可用性基礎(chǔ)之上，保障網(wǎng)絡(luò)信息安全的重要手段。

數(shù)據(jù)保密性基本類型

■靜態(tài)數(shù)據(jù)保密性：數(shù)據(jù)存儲(chǔ)保密

?動(dòng)態(tài)數(shù)據(jù)保密性：網(wǎng)絡(luò)傳輸保密

常用的數(shù)據(jù)保密技術(shù)

?防偵收

?防輻射

■信息加密

?物理保密

網(wǎng)絡(luò)安全屬性

。數(shù)據(jù)完整性

什么是數(shù)據(jù)完整性

是網(wǎng)絡(luò)上信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，信

息在網(wǎng)絡(luò)傳輸或存儲(chǔ)過程中保持不被偶然或蓄意的刪除、修

改、偽造、亂序、重放、插入等破壞或丟失的特性。

保證數(shù)據(jù)完整性的主要技術(shù)與方法

■協(xié)議：有效檢測(cè)出被復(fù)制、刪除、修改的信息；

-糾錯(cuò)編碼方法：檢/糾錯(cuò)，奇偶校驗(yàn)碼

■密碼校驗(yàn)法：抗篡改和傳輸失效

■數(shù)字簽名：保證信息真實(shí)性；

■公證：請(qǐng)求網(wǎng)絡(luò)管理或中介機(jī)構(gòu)證明信息的真實(shí)性；

網(wǎng)絡(luò)安全屬性

。數(shù)據(jù)可靠性

什么是數(shù)據(jù)可靠性

數(shù)據(jù)可靠性是指網(wǎng)絡(luò)信息能在規(guī)定時(shí)間內(nèi)完成規(guī)定

的功能的特性。

可靠性測(cè)度方法

■抗毀性：系統(tǒng)遇到人為破壞時(shí)的可靠性

■生存期：系統(tǒng)遇到隨機(jī)破壞時(shí)的可靠性

■有效性：系統(tǒng)基于業(yè)務(wù)性能的可靠性

?可靠性主要表現(xiàn)

■硬/軟件可靠性

■人員可靠性

-環(huán)境可靠性

網(wǎng)絡(luò)安全屬性

。數(shù)據(jù)可用性

?什么是數(shù)據(jù)可用性

可用性是指存放在主機(jī)中靜態(tài)信息的可用性和可操

作性

?常用數(shù)據(jù)可用性安全技術(shù)

■身份識(shí)別與確認(rèn)

■訪問控制

■業(yè)務(wù)流量控制

■路由選擇控制

■審計(jì)跟蹤

網(wǎng)絡(luò)安全策略

物理安全策略

訪問控制策略

?信息加密策略

?網(wǎng)絡(luò)服務(wù)器安全策略

?操作系統(tǒng)及網(wǎng)絡(luò)軟件安全策略

?網(wǎng)絡(luò)安全管理策略

研究網(wǎng)絡(luò)安全意義

?網(wǎng)絡(luò)安全的社會(huì)意義

?網(wǎng)絡(luò)安全與政治

?網(wǎng)絡(luò)安全與經(jīng)濟(jì)

?網(wǎng)絡(luò)安全與社會(huì)穩(wěn)定

?網(wǎng)絡(luò)安全與軍事

黑客和入侵者

"(Hacker)指對(duì)于任何計(jì)算機(jī)操

作

系統(tǒng)奧秘都有強(qiáng)烈興趣的人?！昂诳汀贝?/p>

都

是程序員，他們具有操作系統(tǒng)和編程語言

方面的高級(jí)知識(shí)，知道系統(tǒng)中的漏洞及其

原因所在；他們不斷追求更深的知識(shí)，并

公開他們的發(fā)現(xiàn)，與其他分享；并且從來

殳有破壞數(shù)據(jù)的企圖。

黑客和入侵者

“”(Cracker)是指懷著不良企圖,

闖入甚至破壞遠(yuǎn)程機(jī)器系統(tǒng)完整性的人。

“入侵者”利用獲得的非法訪問權(quán)，破壞

重

要數(shù)據(jù)，拒絕合法用戶服務(wù)請(qǐng)求，或?yàn)榱?/p>

自己的目的制造麻煩?！叭肭终摺焙苋菀?/p>

L識(shí)

儷，因?yàn)樗麄兊哪康氖菒阂獾摹?/p>

被入侵的含義

“被入侵”指的是網(wǎng)絡(luò)遭受非法闖入的情況。

一入侵者只獲得訪問權(quán)

-入侵者獲得訪問權(quán)，并毀壞、侵蝕或改變數(shù)據(jù)。

-入侵者獲得訪問權(quán)，并捕獲系統(tǒng)一部分或整個(gè)系

統(tǒng)的控制權(quán)，拒絕擁有特權(quán)的用戶的訪問。

-入侵者沒有獲得訪問權(quán)，而是用不良的程序，引

起網(wǎng)絡(luò)持久性或暫時(shí)性的運(yùn)行失敗、重新啟動(dòng)、

掛起或者其他無法操作的狀態(tài)。

黑客入侵目的

?好奇心和成就感

?當(dāng)作入侵其他重要機(jī)器的跳板

?盜用系統(tǒng)資源

?竊取機(jī)密資料

?惡意攻擊

網(wǎng)絡(luò)風(fēng)險(xiǎn)難以消除

?開放的網(wǎng)絡(luò)外部環(huán)境

-越來越多的基于網(wǎng)絡(luò)的應(yīng)用

-企業(yè)的業(yè)務(wù)要求網(wǎng)絡(luò)連接的不間斷性

?來自內(nèi)部的安全隱患

?有限的防御措施

?錯(cuò)誤的實(shí)現(xiàn)、錯(cuò)誤的安全配置

?糟糕的管理和培訓(xùn)

?黑客的攻擊

常見網(wǎng)絡(luò)攻擊方法

口令攻擊：密碼破解

密碼破解方式：

?猜測(cè)法

?窮盡法

?字典法

網(wǎng)絡(luò)監(jiān)聽法

如何防范黑客

＞用防火墻防止外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)未經(jīng)授權(quán)訪問

＞安全監(jiān)測(cè)與掃描

＞使用有效的控制手段抓住入侵者

＞經(jīng)常備份系統(tǒng)

＞加強(qiáng)安全防范意識(shí)，有效地防止黑客的攻擊。

常見信息安全技術(shù)

。數(shù)據(jù)加密技術(shù)

?密碼技術(shù)簡(jiǎn)介

?消息與加密

?明文密文

?鑒別、完整性和抗抵賴性

?算法和密鑰

?對(duì)稱算法

.?公開密鑰算法

密碼技術(shù)簡(jiǎn)介

?:?密碼學(xué)的歷史比較悠久，在四千年前，古埃及

人就開始使用密碼來保密傳遞消息。

?：.兩千多年前，羅馬國(guó)王JulhisCaesare（愷撒）

就開始使用目前稱為“愷撒密碼”的密碼系統(tǒng)。

但是密碼技術(shù)直到本20世紀(jì)40年代以后才有重

大突破和發(fā)展。

?:?特別是20世紀(jì)70年代后期，由于計(jì)算機(jī)、電子

通信的廣泛使用，現(xiàn)代密碼學(xué)得到了空前的發(fā)

k展。

消息和加密

。遵循國(guó)際命名標(biāo)準(zhǔn)，加密和解密可以翻譯成：“Encmiier（譯成

密碼）""（Decipher）（解譯密碼）”。也可以這樣命名：

Encrypt（加密）”和Decrypt（解密）”。

。消息被稱為明文。用某種方法偽裝消息以隱藏它的內(nèi)容的過程稱

為加密，加了密的消息稱為密文，而把密文轉(zhuǎn)變?yōu)槊魑牡倪^程稱

為解密，圖8?1表明了加密和解密的過程。

明文密文原始明文

加密解密

明文密文

?明文用M(Message,消息)或P(Plaintext,明文)表

示，它可能是比特流、文本文件、位圖、數(shù)字化的語

音流或者數(shù)字化的視頻圖像等。

*密文用C(Cipher)表示，也是二進(jìn)制數(shù)據(jù)，有時(shí)和M

一樣大，有時(shí)稍大。通過壓縮和加密的結(jié)合，C有可能

比P小些。

?加密函數(shù)E作用于M得到密文C,用數(shù)學(xué)公式表示為：E

(M)=Co解密函數(shù)D作用于C產(chǎn)生M,用數(shù)據(jù)公式表示

為：D(C)=M先加密后再解密消息，原始的明文將

恢復(fù)出來，D(EO(M))=M必須成立。

鑒別、完整性和抗抵賴性

除了提供機(jī)密性外，密碼學(xué)需要提供三方面的功能：鑒別、完整

性和抗抵賴性。這些功能是通過計(jì)算機(jī)進(jìn)行社會(huì)交流，至關(guān)重要

的需求。

鑒別：消息的接收者應(yīng)該能夠確認(rèn)消息的來源；入侵者不可能偽

裝成他人。

。完整性：消息的接收者應(yīng)該能夠驗(yàn)證在傳送過程中消息沒有被修

改；入侵者不可能用假消息代替合法消息。

抗抵賴性：發(fā)送消息者事后不可能虛假地否認(rèn)他發(fā)送的消息。

算法和密鑰

■

?現(xiàn)代密碼學(xué)用密鑰解決了這個(gè)問題，密鑰用K表示。K

可以是很多數(shù)值里的任意值，密鑰K的可能值的范圍叫

做密鑰空間。加密和解密運(yùn)算都使用這個(gè)密鑰，即運(yùn)

算都依賴于密鑰，并用K作為下標(biāo)表示，加解密函數(shù)表

?達(dá)為：

?EK(M)=C

算法和密鑰

。有些算法使用不同的加密密鑰和解密密鑰，也就是說加密密鑰K1

與相應(yīng)的解密密鑰K2不同，在這種情況下，加密和解密的函數(shù)表

達(dá)式為：

?EKI(M)=C

?DK2(C)=M

。函數(shù)必須具有的特性是，DK2(EKI(M))=M

對(duì)稱算法

基于密鑰的算法通常有兩類：對(duì)稱算法和公開

密鑰算法（非對(duì)稱算法）。對(duì)稱算法有時(shí)又叫

傳統(tǒng)密碼算法，加密密鑰能夠從解密密鑰中推

算出來，反過來也成立。

?:?在大多數(shù)對(duì)稱算法中，加解密的密鑰是相同的。

對(duì)稱算法要求發(fā)送者和接收者在安全通信之前,

協(xié)商一個(gè)密鑰。對(duì)稱算法的安全性依賴于密鑰,

泄漏密鑰就意味著任何人都能對(duì)消息進(jìn)行加解

密。對(duì)稱算法的加密和解密表示為：

EK(M)=C

DK(C)=M

DES對(duì)稱加密技術(shù)

?：?DES（DataEncryptionStandard）算法，于1977年得到美國(guó)政府的

正式許可，是一種用56位密鑰來加密64位數(shù)據(jù)的方法。

DES算法的入口參數(shù)有三個(gè)：Kev、Data.Mode。其中Kev為8個(gè)字

節(jié)共64位，是DE$算法的工作密鑰；Data也為8個(gè)字節(jié)64位，是要

被加密或被解密的數(shù)據(jù)；Mode為DE$的工作方式有兩種：加密或

解密。

?：?DES算法是這樣工作的：如Mode為加密，則用Kev去把數(shù)據(jù)Data進(jìn)

行加密，生成Data的密碼形式（64位）作為DES的輸出結(jié)果；如

Mode為解密，則用Kev去把密碼形式的數(shù)據(jù)Data解密，還原為Data

的明碼形式（64位）作為DE$的輸出結(jié)果。

DES算法實(shí)現(xiàn)步驟

DES算法實(shí)現(xiàn)加密需要三個(gè)步驟：

?第一步：變換明文。對(duì)給定的64位比特的明文X,首先通過一個(gè)置換IP表來重新排列X,從而

構(gòu)造出64位比特的K。，XO=IPIX)=LORO,其中10表示X。的前32比特，R0表示X。的后32位。

?：?第二步：按照規(guī)則迭代。規(guī)則為

Li=Ri-1

Ri=Li?f(Ri4Kil(i=1,2,3...16)

經(jīng)過第一步變換已經(jīng)得到10和R0的值，其中符號(hào)十表示的數(shù)學(xué)運(yùn)算是異或，f表示一種置換,

由$盒置換構(gòu)成，Ki是一些由密鑰編排函數(shù)產(chǎn)生的比特塊。

第三步：對(duì)1161n6利用HM作逆置換,勵(lì)I(lǐng):得到了密文V。

輸出64位比特密文

公開密鑰算法

?公開密鑰算法（非對(duì)稱算法）的加密的密鑰和解密的密鑰不同，

而且解密密鑰不能根據(jù)加密密鑰計(jì)算出來，或者至少在可以計(jì)算

的時(shí)間內(nèi)不能計(jì)算出萊。

?之所以叫做公開密鑰算法，是因?yàn)榧用苊荑€能夠公開，即陌生者

能用加密密鑰加密信息，但只有用相應(yīng)的解密密鑰才能解密信息

加密密鑰叫做公開密鑰（簡(jiǎn)稱公鑰），解密密鑰叫做私人密鑰

（簡(jiǎn)稱私鑰）。

?公開密鑰K1加密表示為：EKI（M）=CO公開密鑰和私人密鑰是不

同的，用相應(yīng)的私人密鑰K2解密可表示為：DK2（C）=Mo

R$A算法的原理

?:1976年，Diffie和Hellman在文章“密碼學(xué)新方

向(NewDirectioninCryptography)”中首次

提出了公開密鑰密碼體制的思想，1977年，

RivesLShamir和Adleman三個(gè)人實(shí)現(xiàn)了公開密

鑰密碼體制，現(xiàn)在稱為RSA公開密鑰體制，它

是第一個(gè)既能用于數(shù)據(jù)加密也能用于數(shù)字簽名

的算法。這種算法易于理解和操作，算法的名

字以發(fā)明者的名字命名：RonRivest,Adi

ShamirsLeonardAdlemano但的安全性一

直未能得到理論上的證明。它經(jīng)歷了各種攻擊,

至今未被完全攻破。

R$A體制

RSA體制可以簡(jiǎn)單描述如下：

(1)、生成兩個(gè)大素?cái)?shù)II和q。

(2)、計(jì)算這兩個(gè)素?cái)?shù)的乘積眸口義嘰

(3)、計(jì)算小于n并且與n互質(zhì)的整數(shù)的個(gè)數(shù)，即歐拉函數(shù)

(4)、選擇一個(gè)隨機(jī)數(shù)b滿足kbv(pui】，并且b和(pun互質(zhì)，即

.J(5)、計(jì)算ab=1moil(pUi】。

(6)、保密a,ii和q,公開n和b。

■利用RSA加密時(shí)，明文以分組的方式加密：每一個(gè)分組的比特?cái)?shù)應(yīng)該小于log2n比

特。加密明文x時(shí)，利用公鑰血11】來1?算c=xbmoilii就可以得到相應(yīng)的密文c。解密

的時(shí)候，通過計(jì)算矽111。||11就可以恢復(fù)出明文*。

-選取的素?cái)?shù)口和q要足夠大，從而乘積n足夠大，在事先不知道口和q的情況下分解n

是計(jì)算上不可行的。

常用的公鑰加密算法包括：R$A密碼體制、日Gamal密碼體制和散列函數(shù)密碼體制

(MD4,MD5等)。

常見信息安全技術(shù)

。數(shù)子簽名

一種確保數(shù)據(jù)完整性和原始性的方法，主要解決：

1.否認(rèn)：事后發(fā)送者不承認(rèn)文件是他發(fā)送的。

2.偽造：有人自己偽造一份文件，卻聲稱他人發(fā)送

3.冒充：冒充別人的身份在網(wǎng)上發(fā)送文件。

4.篡改：接收者私自篡改文件的內(nèi)容。

數(shù)字簽名機(jī)制具有可證實(shí)性、不可否認(rèn)性、不可

偽造性和不可重用性。

什么是數(shù)字簽名

在1607498?2標(biāo)準(zhǔn)中定義為：“附加在數(shù)

據(jù)單元上的一些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作的

密碼變換，這種數(shù)據(jù)和變換允許數(shù)據(jù)單元的接

收者用以確認(rèn)數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整

性，并保護(hù)數(shù)據(jù)，防止被人(例如接收者)進(jìn)

行偽造”。美國(guó)電子簽名標(biāo)準(zhǔn)(DSS,FIPS186-

2)對(duì)數(shù)字簽名作了如下解釋：“利用一套規(guī)

則和一個(gè)參數(shù)對(duì)數(shù)據(jù)計(jì)算所得的結(jié)果，用此結(jié)

果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性”。

按上述定義，PKI可以提供數(shù)據(jù)單元的密碼變換,

并能使接收者判斷數(shù)據(jù)來源及對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證。

什么是PKI

(PublicKeyInfrastructure)是一個(gè)用公鑰概念

與技術(shù)來實(shí)施和提供安全服務(wù)的普遍適用的安全基礎(chǔ)

設(shè)施。換句話說，PKI是一個(gè)利用非對(duì)稱密碼算法(即

公開密鑰算法)原理和技術(shù)實(shí)現(xiàn)并提供網(wǎng)絡(luò)安全服務(wù)

的具有通用性的安全基礎(chǔ)設(shè)施。它遵循標(biāo)準(zhǔn)的公鑰加

密技術(shù)，為電子商務(wù)、電子政務(wù)、網(wǎng)上銀行和網(wǎng)上證

券業(yè)，提供一整套安全保證的基礎(chǔ)平臺(tái)。用戶利用PKI

基礎(chǔ)平臺(tái)所提供的安全服務(wù)，能在網(wǎng)上實(shí)現(xiàn)安全通信。

PKI這種遵循標(biāo)準(zhǔn)的密鑰管理平臺(tái)，能夠?yàn)樗芯W(wǎng)上應(yīng)

用，透明地提供加解密和數(shù)字簽名等安全服務(wù)所需要

I的密鑰和證書管理。

認(rèn)證機(jī)構(gòu)CA

?：?認(rèn)證機(jī)構(gòu)是PKI的核心執(zhí)行機(jī)構(gòu)和主要組成部分，一般簡(jiǎn)稱為CA,在業(yè)界

通常把它稱為認(rèn)證中心。它是一種具有權(quán)威性、可信任性和公正性的第

三方機(jī)構(gòu)。認(rèn)證機(jī)構(gòu)CA的建設(shè)要根據(jù)國(guó)家市場(chǎng)準(zhǔn)入政策由國(guó)家主管部門

批準(zhǔn)，具有權(quán)威性；CA機(jī)構(gòu)本身的建設(shè)應(yīng)具備條件、采用的密碼算法及

技術(shù)保障是高度安全的，具有可信任性；CA是不參與交易雙方利益的第

三方機(jī)構(gòu)，具有公正性。CA認(rèn)證機(jī)構(gòu)在《電子簽名法》中被稱做“電子

認(rèn)證服務(wù)提供者”。

。CA的組成主要有證書簽發(fā)服務(wù)器，負(fù)責(zé)證書的簽發(fā)和管理，包括證書歸

檔、撤消和更新等等；密鑰管理中心，用硬件加密機(jī)產(chǎn)生公/私密鑰對(duì)，

CA私鑰不出卡，提供CA證書的簽發(fā)；目錄服務(wù)器負(fù)責(zé)證書和證書撤消列

表（CRL）的發(fā)布和查詢。

數(shù)字證書

簡(jiǎn)稱證書，是PKI的核心元素，由認(rèn)證機(jī)構(gòu)服務(wù)者簽發(fā)，它

是數(shù)字簽名的技術(shù)基礎(chǔ)保障;符合兒309標(biāo)準(zhǔn)，是網(wǎng)上實(shí)體身份的

證明，證明某一實(shí)體的身份以及其公鑰的合法性及該實(shí)體與公鑰

二者之間的匹配關(guān)系。證書是公鑰的載體，證書上的公鑰惟一與

實(shí)體身份相綁定?，F(xiàn)行的PKI機(jī)制一般為雙證書機(jī)制，即一個(gè)實(shí)體

應(yīng)具有兩個(gè)證書，兩個(gè)密鑰對(duì)，一個(gè)是加密證書，一個(gè)是簽名證

書，加密證書原則上是不能用于簽名的。

證書格式版本3

證書序列號(hào)63457873

CA簽名算法標(biāo)識(shí)ShalRSA

簽發(fā)CA名稱o=cfca,c=CN

證書有效期2004-1-1**2005-1-1

證書持有者名稱cn=******o=cfcac=CN

證書公留_________________a058.cf31.3bc3

證書擴(kuò)展域keyusage=digital

CA對(duì)證書的簽名ca58.b2c3.1bc6

圖2

常見信息安全技術(shù)

。防火墻技術(shù)

?什么是防火墻

?防火墻原理

?防火墻能做什么

?防火墻種類

什么是防火墻

是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)

部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列

部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的

唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒

絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗

攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息

安全的基礎(chǔ)設(shè)施。

在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，

也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間

的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全。

防火墻原理

InternalNetwork

□

防火墻能做什么

?:?防火墻是網(wǎng)絡(luò)安全的屏障

防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略

對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)

?防止內(nèi)部信息的外泄

防火墻種類

?分組過濾(Packetfiltering)：作用在網(wǎng)絡(luò)層和傳輸層，它根據(jù)分

組包頭源地址，目的地址和端口號(hào)、協(xié)議類型等標(biāo)志確定是否允許數(shù)據(jù)

包通過。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地出口端，

其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。

應(yīng)用代理(ApplicationProxy)：也叫應(yīng)用網(wǎng)關(guān)(Application

Gateway),它作用在應(yīng)用層，其特點(diǎn)是完全〃阻隔〃了網(wǎng)絡(luò)通信流,

通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信

流的作用。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常由專用工作站實(shí)現(xiàn)。

常見信息安全技術(shù)

訪問控制技術(shù)

訪問控制可以防止未經(jīng)授權(quán)的用戶非法使用系統(tǒng)資源，這種服

務(wù)不僅可以提供給單個(gè)用戶，也可以提供給用戶組的所有用戶。

訪問控制是通過對(duì)訪問者的有關(guān)信息進(jìn)行檢查來限制或禁止訪

問者使用資源的技術(shù)，分為高層訪問控制和低層訪問控制。

高層訪問控制包括身份檢查和權(quán)限確認(rèn)，是通過對(duì)用戶口令、

用戶權(quán)限、資源屬性的檢查和對(duì)比來實(shí)現(xiàn)的。

低層訪問控制是通過對(duì)通信協(xié)議中的某些特征信息的識(shí)別、判

斷，來禁止或允許用戶訪問的措施。如在路由器上設(shè)置過濾規(guī)則進(jìn)

行數(shù)據(jù)包過濾，就屬于低層訪問控制。

常見信息安全技術(shù)

?入侵檢測(cè)技術(shù)

為探測(cè)整個(gè)IT基礎(chǔ)設(shè)施中的濫用和各

種攻擊提供了一個(gè)集成的解決方案。通過

把網(wǎng)絡(luò)上探測(cè)到的事件同主機(jī)、防火墻和

應(yīng)用系統(tǒng)上探測(cè)到的事件結(jié)合起來，為大

企業(yè)和小企業(yè)都提供了完整的網(wǎng)絡(luò)安全解

決。

常見信息安全技術(shù)

。身份驗(yàn)證

存取控制

安全協(xié)議

信息安全應(yīng)用軟件

?：?網(wǎng)絡(luò)加密通用系統(tǒng)PGP

?：?安全郵件標(biāo)準(zhǔn)PEM

PGP加密

?：?PGP(PrettyGoodPrivacy)加密技術(shù)是一個(gè)基于RSA公鑰加密體系

的郵件加密軟件，提出了公共鑰匙或不對(duì)稱文件的加密技術(shù)。

?PGP加密技術(shù)的創(chuàng)始人是美國(guó)的PhilZimmemiaiiii。他的創(chuàng)造性把把RSA公

鑰體系和傳統(tǒng)加密體系的結(jié)合起來，并且在數(shù)字簽名和密鑰認(rèn)證管理機(jī)

制上有巧妙的設(shè)計(jì)，因此PGP成為目前幾乎最流行的公鑰加密軟件包。

。由于R$A算法計(jì)算量極大，在速度上不適合加密大量數(shù)據(jù)，所以PGP實(shí)際

上用來加密的不是RSA本身，而是采用傳統(tǒng)加密算法IDEA,IDEA加解密的

速度比RSA快得多。PGP隨機(jī)生成一個(gè)密鑰，用IDEA算法對(duì)明文加密，然

后用RSA算法對(duì)密鑰加密。收件人同樣是用RSA解出隨機(jī)密鑰，再用IEDA

解出原文。這樣的鏈?zhǔn)郊用芗扔蠷SA算法的保密性(Privacy)和認(rèn)證性

(Authentication),又保持了IDEA算法速度快的優(yōu)勢(shì)。

"AN

W?lc)

W?kom?la2fdPaOd?W?，or^

tzarm^nd"uttvc*t*?MMiWkMow*cwaguMn*b*tc?*